Kotiin-Ohjelmat-VPN-yhteys - mikä se on, miksi sitä tarvitaan ja miten se toimii. Kuinka aloittaa VPN:n käyttö millä tahansa laitteella

VPN-yhteys - mikä se on, miksi sitä tarvitaan ja miten se toimii. Kuinka aloittaa VPN:n käyttö millä tahansa laitteella

Tässä artikkelissa tarkastellaan lähemmin VPN-palvelimen määritysprosessia Windows Server -käyttöjärjestelmässä ja vastataan myös kysymyksiin: Mikä on VPN ja kuinka VPN-yhteys määritetään?

Mikä on VPN-yhteys?

VPN (Virtual Private Network) on virtuaalinen yksityinen verkko, jota käytetään tarjoamaan suojattu yhteys verkkoon. Tekniikka, jonka avulla voit liittää minkä tahansa määrän laitteita yksityiseen verkkoon. Pääsääntöisesti Internetin kautta.

Vaikka tämä tekniikka ei ole uusi, se on viime aikoina tullut merkityksellisemmäksi, koska käyttäjät haluavat säilyttää tietojen eheyden tai yksityisyyden reaaliajassa.

Tätä yhteystapaa kutsutaan VPN-tunneliksi. Voit muodostaa yhteyden VPN-verkkoon mistä tahansa tietokoneesta millä tahansa käyttöjärjestelmällä, joka tukee VPN-yhteyttä. Tai VPN-Client on asennettu, joka pystyy välittämään portit TCP/IP:n avulla virtuaaliseen verkkoon.

Mitä VPN tekee?

VPN tarjoaa etäyhteyden yksityisiin verkkoihin

Voit myös turvallisesti yhdistää useita verkkoja ja palvelimia

Tietokoneet, joiden IP-osoite on 192.168.0.10 - 192.168.0.125, on yhdistetty verkkoyhdyskäytävän kautta, joka toimii VPN-palvelimena. VPN-kanavan kautta tapahtuvia yhteyksiä koskevat säännöt on ensin kirjoitettava palvelimelle ja reitittimelle.

VPN:n avulla voit käyttää Internetiä turvallisesti, kun muodostat yhteyden jopa avoimiin Wi-Fi-verkkoihin julkisissa tiloissa (ostoskeskuksissa, hotelleissa tai lentokentillä)

Ja myös ohittaa sisällön näyttämistä koskevat rajoitukset tietyissä maissa

VPN estää kyberuhkia sieppaamasta tietoa hyökkääjältä lennossa, vastaanottajan huomaamatta.

Kuinka VPN toimii

Katsotaanpa kuinka VPN-yhteys toimii periaatteessa.

Kuvitellaan, että lähetys on paketin liikettä moottoritietä pitkin pisteestä A pisteeseen B paketin reitillä on tarkistuspisteet datapaketin läpikulkua varten. VPN-verkkoa käytettäessä tämä reitti on lisäksi suojattu salausjärjestelmällä ja käyttäjän todennuksella datapaketin sisältävän liikenteen turvaamiseksi. Tätä menetelmää kutsutaan "tunneloimiseksi" (tunnelointi - tunnelin avulla)

Tässä kanavassa kaikki viestintä on suojattu luotettavasti ja kaikki tiedonsiirron välisolmut käsittelevät salattua pakettia ja vasta kun tiedot välitetään vastaanottajalle, paketin tiedot puretaan ja tulevat valtuutetun vastaanottajan saataville.

VPN varmistaa tietojesi yksityisyyden sekä kattavan virustorjuntaohjelman.

VPN tukee sellaisia ​​varmenteita kuin OpenVPN, L2TP, IPSec, PPTP, PPOE ja se osoittautuu täysin turvalliseksi ja turvalliseksi tiedonsiirtomenetelmäksi.

VPN-tunnelointia käytetään:

  1. Yritysverkon sisällä.
  2. Etätoimistojen sekä pienten sivukonttoreiden yhdistäminen.
  3. Pääsy ulkoisiin IT-resursseihin.
  4. Videoneuvottelujen rakentamiseen.

VPN:n luominen, laitteiden valinta ja konfigurointi.

Yritysviestintään suurissa organisaatioissa tai toisistaan ​​erillään olevien toimistojen yhdistämisessä käytetään laitteistoa, joka pystyy ylläpitämään verkon keskeytymätöntä toimintaa ja turvallisuutta.

VPN-palvelun käyttämiseksi verkkoyhdyskäytävän rooli voi olla: Linux/Windows-palvelimet, reititin ja verkkoyhdyskäytävä, johon VPN on asennettu.

Reitittimen on varmistettava verkon luotettava toiminta ilman jäätymistä. Sisäänrakennetun VPN-toiminnon avulla voit muuttaa asetuksia kotona, organisaatiossa tai haaratoimistossa työskentelemistä varten.

VPN-palvelimen määrittäminen.

Jos haluat asentaa ja käyttää Windows-perheeseen perustuvaa VPN-palvelinta, sinun on ymmärrettävä, että Windows XP/7/8/10 -asiakaskoneet eivät tue tätä toimintoa, tarvitset virtualisointijärjestelmän tai fyysisen palvelimen Windows 2000/2003/2008/ alusta 2012/2016, mutta tarkastelemme tätä ominaisuutta Windows Server 2008 R2:ssa.

1. Ensin sinun on asennettava "Network Policy and Access Services" -palvelinrooli. Voit tehdä tämän avaamalla palvelimen hallinnan ja napsauttamalla Lisää rooli -linkkiä:

Valitse Verkko- ja käyttöoikeuspalveluiden rooli ja napsauta seuraavaa:

Valitse "Reititys- ja etäkäyttöpalvelut" ja napsauta Seuraava ja asenna.

2. Kun olet asentanut roolin, sinun on määritettävä se. Siirry Palvelinhallintaan, laajenna "Roolit" -haara, valitse "Network and Access Policy Services" -rooli, laajenna se, napsauta hiiren kakkospainikkeella "Reititys ja etäkäyttö" ja valitse "Määritä ja ota käyttöön reititys ja etäkäyttö".

Palvelun käynnistämisen jälkeen katsomme, että roolin konfigurointi on valmis. Nyt sinun on sallittava käyttäjien pääsy palvelimeen ja määritettävä IP-osoitteiden myöntäminen asiakkaille.

Portit, joita VPN tukee. Kun palvelu on nostettu, ne avautuvat palomuurissa.

PPTP:lle: 1723 (TCP);

L2TP: 1701 (TCP)

SSTP: 443 (TCP).

L2TP/IpSec-protokolla on edullisempi VPN-verkkojen rakentamiseen, lähinnä turvallisuuden ja korkeamman käytettävyyden vuoksi, koska data- ja ohjauskanaville käytetään yhtä UDP-istuntoa. Tänään tarkastelemme L2TP/IpSec VPN -palvelimen määrittämistä Windows Server 2008 r2 -alustalle.

Voit yrittää ottaa käyttöön seuraavilla protokollilla: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec

Mennään Palvelinhallinta: Roolit - Reititys ja etäkäyttö, napsauta tätä roolia hiiren kakkospainikkeella ja valitse " Ominaisuudet", "Yleiset"-välilehdellä, valitse IPv4-reititin, valitse "paikallinen verkko ja kysyntäpuhelu" ja IPv4-etäkäyttöpalvelin:

Nyt meidän on syötettävä esijaettu avain. Siirry välilehdelle Turvallisuus ja kentällä Salli erityiset IPSec-käytännöt L2TP-yhteyksille, valitse valintaruutu ja anna avaimesi. (Tietoja avaimesta. Sinne voi syöttää mielivaltaisen kirjainten ja numeroiden yhdistelmän; pääperiaate on, että mitä monimutkaisempi yhdistelmä, sitä turvallisempi se on, ja muista tai kirjoita tämä yhdistelmä muistiin; tarvitsemme sitä myöhemmin). Valitse Authentication Provider -välilehdeltä Windows-todennus.

Nyt meidän on määritettävä Yhteyden suojaus. Voit tehdä tämän siirtymällä välilehdelle Turvallisuus ja valitse Todennusmenetelmät, valitse ruudut EAP ja salattu todennus (Microsoft versio 2, MS-CHAP v2):

Seuraavaksi siirrytään välilehteen IPv4, ilmoitamme siellä, mikä käyttöliittymä hyväksyy VPN-yhteydet, ja määritämme myös L2TP VPN -asiakkaille myönnettyjen osoitteiden joukon IPv4-välilehdellä (Aseta käyttöliittymäksi "Salli RAS:n valita sovitin"):

Siirrytään nyt näkyviin tulevaan välilehteen Portit, napsauta hiiren kakkospainikkeella ja Ominaisuudet, valitse yhteys L2TP ja paina Virittää, näytämme sen uudessa ikkunassa Etäyhteys (vain saapuva) Ja On-demand-yhteys (saapuva ja lähtevä) ja aseta porttien enimmäismäärä, porttien lukumäärän on vastattava tai ylitettävä odotettu asiakasmäärä. Käyttämättömät protokollat ​​on parempi poistaa käytöstä poistamalla molempien valintaruutujen valinta niiden ominaisuuksista.

Luettelo porteista, joista olemme jättäneet määritetyn määrän.

Tämä päättää palvelimen asennuksen. Jäljelle jää vain sallia käyttäjien muodostaa yhteys palvelimeen. Siirry osoitteeseen Palvelimen hallinta Active Directory käyttäjiä – löydämme haluamamme käyttäjän salli pääsy paina ominaisuuksia, siirry kirjanmerkkiin saapuvat puhelut

Yksityisten virtuaaliverkkojen käsite, lyhennettynä VPN (englanniksi, ilmestyi tietotekniikkaan suhteellisen hiljattain. Tämän tyyppisen yhteyden luominen mahdollisti tietokonepäätteiden ja mobiililaitteiden yhdistämisen virtuaaliverkoiksi ilman tavanomaisia ​​johtoja, riippumatta Tarkastellaan nyt kysymystä VPN-yhteyden toiminnasta ja annamme samalla joitain suosituksia tällaisten verkkojen ja niihin liittyvien asiakasohjelmien määrittämiseksi.

Mikä on VPN?

Kuten on jo selvää, VPN on virtuaalinen yksityinen verkko, johon on kytketty useita laitteita. Sinun ei pitäisi huijata itseäsi - yleensä ei ole mahdollista yhdistää kahta tai kolmea tusinaa samanaikaisesti toimivaa tietokonepäätettä (kuten paikallisella alueella voidaan tehdä). Tällä on rajoituksensa verkkoasetuksissa tai jopa yksinkertaisesti IP-osoitteiden jakamisesta vastaavan reitittimen kaistanleveydessä.

Yhteysteknologiaan alun perin sisältynyt ajatus ei kuitenkaan ole uusi. He yrittivät perustella sitä pitkään. Ja monet nykyaikaiset tietokoneverkkojen käyttäjät eivät edes kuvittele, että he ovat tienneet tästä koko elämänsä ajan, mutta eivät yksinkertaisesti yrittäneet ymmärtää asian ydintä.

Kuinka VPN-yhteys toimii: perusperiaatteet ja tekniikat

Paremman ymmärtämisen vuoksi annamme yksinkertaisimman esimerkin, jonka jokainen nykyaikainen ihminen tuntee. Otetaan esimerkiksi radio. Loppujen lopuksi se on pohjimmiltaan lähettävä laite (kääntäjä), välittäjäyksikkö (toistin), joka vastaa signaalin lähettämisestä ja jakelusta, ja vastaanottava laite (vastaanotin).

Toinen asia on, että signaali lähetetään ehdottomasti kaikille kuluttajille ja virtuaaliverkko toimii valikoivasti yhdistäen vain tietyt laitteet yhdeksi verkkoksi. Huomaa, että ensimmäisessä eikä toisessa tapauksessa johtoja ei tarvita lähettävien ja vastaanottavien laitteiden yhdistämiseen, jotka vaihtavat tietoja keskenään.

Mutta tässä on myös joitain hienouksia. Tosiasia on, että alun perin radiosignaali oli suojaamaton, eli mikä tahansa radioamatööri voi vastaanottaa sen sopivalla taajuudella toimivalla laitteella. Kuinka VPN toimii? Kyllä, aivan sama. Vain tässä tapauksessa toistimen roolia hoitaa reititin (reititin tai ADSL-modeemi), ja vastaanottimen roolia hoitaa kiinteä tietokonepääte, kannettava tietokone tai mobiililaite, joka on varustettu erityisellä langattomalla yhteysmoduulilla (Wi- Fi).

Kaiken tämän avulla lähteestä tulevat tiedot salataan alun perin, ja vasta sitten, käyttämällä erityistä salauksenpurkuohjelmaa, ne toistetaan tietyllä laitteella. Tätä VPN:n kautta tapahtuvan viestinnän periaatetta kutsutaan tunneloimiseksi. Ja tämä periaate sopii parhaiten matkaviestintään, kun uudelleenohjaus tapahtuu tietylle tilaajalle.

Paikallisen virtuaalisen verkon tunnelointi

Ymmärretään kuinka VPN toimii tunnelointitilassa. Pohjimmiltaan se sisältää tietyn suoran luomisen esimerkiksi pisteestä "A" pisteeseen "B", kun siirrettäessä tietoja keskuslähteestä (reitittimestä, jossa on palvelinyhteys) kaikki verkkolaitteet tunnistetaan automaattisesti. ennalta määrättyyn kokoonpanoon.

Toisin sanoen tunneli luodaan koodauksella dataa lähetettäessä ja dekoodauksella vastaanotettaessa. Osoittautuu, että kukaan muu käyttäjä, joka yrittää siepata tämäntyyppistä dataa lähetyksen aikana, ei voi purkaa sen salausta.

Toteutuskeinot

Yksi tehokkaimmista työkaluista tällaisiin yhteyksiin ja samalla turvallisuuden varmistamiseen ovat Cisco-järjestelmät. Totta, joillakin kokemattomilla järjestelmänvalvojilla on kysymys siitä, miksi VPN-Cisco-laitteet eivät toimi.

Tämä johtuu ensisijaisesti virheellisestä konfiguroinnista ja reitittimien, kuten D-Link tai ZyXEL, asennetuista ohjaimista, jotka vaativat hienosäätöä vain, koska niissä on sisäänrakennettu palomuuri.

Lisäksi kannattaa kiinnittää huomiota kytkentäkaavioihin. Niitä voi olla kaksi: reitiltä reitille tai etäkäyttö. Ensimmäisessä tapauksessa puhumme useiden jakelulaitteiden yhdistämisestä ja toisessa yhteyden hallinnasta tai tiedonsiirrosta etäkäytön avulla.

Pääsyprotokollat

Protokollien suhteen konfigurointityökaluja käytetään nykyään pääasiassa PCP/IP-tasolla, vaikka VPN-verkkojen sisäiset protokollat ​​voivat vaihdella.

VPN lakkasi toimimasta? On joitain piilotettuja vaihtoehtoja, joita voit tarkastella. Esimerkiksi TCP-teknologiaan perustuvat lisäprotokollat ​​PPP ja PPTP kuuluvat edelleen TCP/IP-protokollapinoihin, mutta yhteyden muodostamiseen esimerkiksi PPTP:tä käytettäessä on käytettävä kahta IP-osoitetta vaaditun yhden sijaan. Tunnelointiin kuuluu kuitenkin joka tapauksessa sisäisten protokollien, kuten IPX tai NetBEUI, sisältämien tietojen siirtäminen, jotka kaikki on varustettu erityisillä PPP-pohjaisilla otsikoilla tiedon siirtämiseksi saumattomasti sopivaan verkkoajuriin.

Laitteistolaitteet

Katsotaanpa nyt tilannetta, jossa herää kysymys, miksi VPN ei toimi. On selvää, että ongelma voi johtua virheellisestä laitekokoonpanosta. Mutta myös toinen tilanne voi syntyä.

Kannattaa kiinnittää huomiota itse reitittimiin, jotka valvovat yhteyttä. Kuten edellä mainittiin, sinun tulee käyttää vain laitteita, jotka täyttävät yhteysparametrit.

Esimerkiksi reitittimet, kuten DI-808HV tai DI-804HV, pystyvät yhdistämään jopa neljäkymmentä laitetta samanaikaisesti. Mitä tulee ZyXEL-laitteisiin, se voi monissa tapauksissa toimia jopa sisäänrakennetun ZyNOS-verkkokäyttöjärjestelmän kautta, mutta vain komentorivitilassa Telnet-protokollan kautta. Tämän lähestymistavan avulla voit määrittää minkä tahansa laitteen tiedonsiirtoon kolmessa verkossa yhteisessä Ethernet-ympäristössä, jossa on IP-liikennettä, sekä käyttää ainutlaatuista Any-IP-tekniikkaa, joka on suunniteltu käyttämään standarditaulukkoa reitittimistä, joissa on välitetty liikenne yhdyskäytävänä. järjestelmät, jotka on alun perin määritetty toimimaan muissa aliverkoissa.

Mitä tehdä, jos VPN ei toimi (Windows 10 ja vanhempi)?

Aivan ensimmäinen ja tärkein ehto on lähtö- ja syöttönäppäinten (Pre-Shared Keys) vastaavuus. Niiden on oltava samat tunnelin molemmissa päissä. On myös syytä kiinnittää huomiota kryptografisiin salausalgoritmeihin (IKE tai Manual), joissa on tai ei ole todennustoimintoa.

Esimerkiksi sama AH-protokolla (englanniksi - Authentication Header) voi tarjota vain valtuutuksen ilman mahdollisuutta käyttää salausta.

VPN-asiakkaat ja niiden määritykset

Mitä tulee VPN-asiakkaisiin, kaikki ei ole yksinkertaista täälläkään. Useimmat tällaisiin tekniikoihin perustuvat ohjelmat käyttävät vakiomääritysmenetelmiä. Tässä on kuitenkin sudenkuoppia.

Ongelmana on, että riippumatta siitä, kuinka asennat asiakkaan, jos palvelu poistetaan käytöstä itse käyttöjärjestelmässä, siitä ei seuraa mitään hyvää. Tästä syystä sinun on ensin otettava nämä asetukset käyttöön Windowsissa, sitten otettava ne käyttöön reitittimessä (reitittimessä) ja vasta sitten aloitettava itse asiakkaan määrittäminen.

Sinun on luotava uusi yhteys itse järjestelmään sen sijaan, että käytät olemassa olevaa. Emme viivyttele tässä, koska menettely on vakio, mutta itse reitittimessä sinun on siirryttävä lisäasetuksiin (useimmiten ne sijaitsevat WLAN-yhteystyyppi-valikossa) ja aktivoitava kaikki VPN-palvelimeen liittyvä.

On myös syytä huomata, että se on asennettava järjestelmään lisäohjelmana. Mutta sitten sitä voidaan käyttää myös ilman manuaalista konfigurointia, yksinkertaisesti valitsemalla lähin sijainti.

Yksi suosituimmista ja helpoimmista käytettävistä on VPN-asiakaspalvelin nimeltä SecurityKISS. Ohjelma on asennettu, mutta silloin sinun ei tarvitse edes mennä asetuksiin varmistaaksesi normaalin tiedonsiirron kaikille jakelijaan kytkettyille laitteille.

Sattuu niin, että melko tunnettu ja suosittu Kerio VPN Client -paketti ei toimi. Täällä sinun on kiinnitettävä huomiota paitsi itse käyttöjärjestelmään myös asiakasohjelman parametreihin. Yleensä oikeiden parametrien syöttäminen antaa sinun päästä eroon ongelmasta. Viimeisenä keinona sinun on tarkistettava pääyhteyden asetukset ja käytetyt TCP/IP-protokollat ​​(v4/v6).

Mikä on tulos?

Tarkastelimme VPN:n toimintaa. Periaatteessa tämäntyyppisten verkkojen yhdistämisessä tai luomisessa ei ole mitään monimutkaista. Suurimmat vaikeudet ovat tiettyjen laitteiden ja niiden parametrien asettamisessa, jotka valitettavasti monet käyttäjät jättävät huomiotta luottaen siihen, että koko prosessi pelkistyy automatisointiin.

Toisaalta keskityimme nyt enemmän itse VPN-virtuaaliverkkojen toimintatekniikkoihin liittyviin asioihin, joten laitteiden asennus, laiteajureiden asennus jne. tulee tehdä erillisillä ohjeilla ja suosituksilla.

Sähköinen viestintä paranee vuosi vuodelta ja tiedonvaihdolle asetetaan yhä korkeammat vaatimukset tietojenkäsittelyn nopeudelle, turvallisuudelle ja laadulle.

Ja tässä tarkastellaan VPN-yhteyttä yksityiskohtaisesti: mikä se on, miksi VPN-tunnelia tarvitaan ja kuinka VPN-yhteyttä käytetään.

Tämä materiaali on eräänlainen johdantosana artikkelisarjaan, jossa kerromme sinulle kuinka luoda vpn eri käyttöjärjestelmissä.

VPN-yhteys mikä se on?

Joten virtuaalinen yksityinen verkko vpn on tekniikka, joka tarjoaa turvallisen (ulkoiselta pääsyltä suljetun) yhteyden loogiseen verkkoon yksityisen tai julkisen verkon kautta nopean Internetin läsnä ollessa.

Tällainen tietokoneiden verkkoyhteys (maantieteellisesti kaukana toisistaan ​​huomattavan etäisyyden päässä) käyttää "point-to-point" -yhteyttä (toisin sanoen "tietokone-tietokone").

Tieteellisesti tätä yhteysmenetelmää kutsutaan VPN-tunneliksi (tai tunneliprotokollaksi). Voit muodostaa yhteyden tällaiseen tunneliin, jos sinulla on tietokone, jossa on mikä tahansa käyttöjärjestelmä, jossa on integroitu VPN-asiakas, joka voi "välittää" virtuaalisia portteja TCP/IP-protokollan avulla toiseen verkkoon.

Miksi tarvitset VPN:n?

VPN:n tärkein etu on, että neuvottelijat tarvitsevat yhteysalustan, joka ei vain skaalaa nopeasti, vaan myös (ensisijaisesti) varmistaa tietojen luottamuksellisuuden, tietojen eheyden ja todennuksen.

Kaaviossa näkyy selkeästi VPN-verkkojen käyttö.

Suojatun kanavan yhteyksien säännöt on ensin kirjoitettava palvelimelle ja reitittimelle.

Kuinka VPN toimii

Kun yhteys muodostetaan VPN:n kautta, viestin otsikko sisältää tietoa VPN-palvelimen IP-osoitteesta ja etäreitistä.

Jaetun tai julkisen verkon kautta kulkevaa kapseloitua dataa ei voida siepata, koska kaikki tiedot on salattu.

VPN-salausvaihe toteutetaan lähettäjän puolella, ja vastaanottajan tietojen salaus puretaan viestin otsikon avulla (jos on jaettu salausavain).

Kun viestin salaus on purettu oikein, kahden verkon välille muodostetaan VPN-yhteys, jonka avulla voit myös työskennellä julkisessa verkossa (esimerkiksi vaihtaa tietoja asiakkaan kanssa 93.88.190.5).

Tietoturvan osalta Internet on erittäin suojaamaton verkko, ja VPN-verkko OpenVPN-, L2TP / IPSec-, PPTP-, PPPoE-protokollien kanssa on täysin turvallinen ja turvallinen tapa siirtää tietoja.

Miksi tarvitset VPN-kanavan?

VPN-tunnelointia käytetään:

Yritysverkon sisällä;

Yhdistää etätoimistot sekä pienet sivuliikkeet;

Digitaalisiin puhelinpalveluihin, joissa on laaja valikoima tietoliikennepalveluja;

käyttää ulkoisia IT-resursseja;

Videoneuvottelujen rakentamiseen ja toteuttamiseen.

Miksi tarvitset VPN:n?

VPN-yhteys tarvitaan:

Anonyymi työ Internetissä;

Sovellusten lataaminen, kun IP-osoite sijaitsee maan toisella alueellisella vyöhykkeellä;

Turvallista työskentelyä yritysympäristössä viestinnän avulla;

Yhteyden asennuksen yksinkertaisuus ja mukavuus;

Varmistetaan korkea yhteysnopeus ilman keskeytyksiä;

Turvallisen kanavan luominen ilman hakkerihyökkäyksiä.

Kuinka käyttää VPN:ää?

Esimerkkejä VPN:n toiminnasta voidaan antaa loputtomasti. Joten millä tahansa yritysverkon tietokoneella, kun muodostat suojatun VPN-yhteyden, voit käyttää sähköpostia viestien tarkistamiseen, materiaalien julkaisemiseen mistä tahansa maasta tai tiedostojen lataamiseen torrent-verkoista.

VPN: mikä se on puhelimessasi?

Pääsy VPN:n kautta puhelimeen (iPhone tai mikä tahansa muu Android-laite) mahdollistaa anonymiteetin säilyttämisen käyttäessäsi Internetiä julkisilla paikoilla sekä estää liikenteen sieppaamisen ja laitteen hakkeroinnin.

Mihin tahansa käyttöjärjestelmään asennettu VPN-asiakas antaa sinun ohittaa monet palveluntarjoajan asetuksista ja säännöistä (jos palveluntarjoaja on asettanut rajoituksia).

Mikä VPN valita puhelimellesi?

Android-käyttöjärjestelmää käyttävät matkapuhelimet ja älypuhelimet voivat käyttää Google Playmarketin sovelluksia:

  • - vpnRoot, droidVPN,
  • - tor-selain verkossa surffaamiseen, joka tunnetaan myös nimellä orbot
  • - InBrowser, orfox (firefox+tor),
  • - SuperVPN ilmainen VPN-asiakas
  • - OpenVPN Connect
  • - TunnelBear VPN
  • - Hideman VPN

Useimpia näistä ohjelmista käytetään helpottamaan "kuumien" järjestelmän asetusten tekemistä, käynnistämään pikakuvakkeita, anonyymiä Internet-surffausta ja yhteyden salaustyypin valintaa.

Mutta VPN:n käytön päätehtävät puhelimessa ovat yrityksen sähköpostin tarkistaminen, videoneuvottelujen luominen useiden osallistujien kanssa ja kokousten pitäminen organisaation ulkopuolella (esimerkiksi kun työntekijä on työmatkalla).

Mikä on VPN iPhonessa?

Katsotaanpa, mikä VPN valita ja miten se liitetään iPhoneen tarkemmin.

Riippuen tuetun verkon tyypistä, kun käynnistät VPN-määrityksen ensimmäistä kertaa iPhonessasi, voit valita seuraavat protokollat: L2TP, PPTP ja Cisco IPSec (lisäksi voit "luoda" VPN-yhteyden kolmannen osapuolen sovelluksilla) .

Kaikki listatut protokollat ​​tukevat salausavaimia, käyttäjän tunnistamista salasanalla ja sertifiointia suoritetaan.

Lisäominaisuuksia määritettäessä VPN-profiilia iPhonessa ovat: RSA-suojaus, salaustaso ja valtuutussäännöt yhteyden muodostamiseksi palvelimeen.

Appstoren iPhone-puhelimelle sinun tulee valita:

  • - ilmainen Tunnelbear-sovellus, jolla voit muodostaa yhteyden VPN-palvelimiin missä tahansa maassa.
  • - OpenVPN connect on yksi parhaista VPN-asiakkaista. Tässä sovelluksen käynnistämiseksi sinun on ensin tuotava RSA-avaimet iTunesin kautta puhelimeesi.
  • - Cloak on shareware-sovellus, koska tuotetta voi jonkin aikaa "käyttää" ilmaiseksi, mutta jos haluat käyttää ohjelmaa demo-ajan umpeutumisen jälkeen, sinun on ostettava se.

VPN:n luominen: laitteiden valinta ja konfigurointi

Yritysviestintään suurissa organisaatioissa tai toisistaan ​​erillään olevien toimistojen yhdistämisessä he käyttävät laitteistoa, joka tukee jatkuvaa ja turvallista työtä verkossa.

VPN-tekniikoiden toteuttamiseksi verkkoyhdyskäytävän rooli voi olla: Unix-palvelimet, Windows-palvelimet, verkkoreititin ja verkkoyhdyskäytävä, johon VPN on asennettu.

Palvelimen tai laitteen, jolla luodaan VPN-yritysverkko tai VPN-kanava etätoimistojen välille, on suoritettava monimutkaisia ​​teknisiä tehtäviä ja tarjottava täyden valikoiman palveluita käyttäjille sekä työasemilla että mobiililaitteilla.

Jokaisen reitittimen tai VPN-reitittimen on toimittava luotettavasti verkossa ilman jäätymistä. Ja sisäänrakennetun VPN-toiminnon avulla voit muuttaa verkon asetuksia kotona, organisaatiossa tai etätoimistossa työskentelemistä varten.

VPN:n määrittäminen reitittimeen

Yleensä VPN:n määrittäminen reitittimeen tehdään reitittimen verkkoliittymän avulla. "Perinteisillä" laitteilla VPN:n järjestämiseksi sinun on siirryttävä "asetukset"- tai "verkkoasetukset"-osioon, jossa valitaan VPN-osio, määritetään protokollatyyppi, kirjoitetaan aliverkkoosoitteesi asetukset, maski ja määritetään käyttäjien IP-osoitteiden valikoima.

Lisäksi yhteyden suojaamiseksi sinun on määritettävä koodausalgoritmit, todennusmenetelmät, luotava neuvotteluavaimet ja määritettävä WINS DNS -palvelimet. "Gateway"-parametreissa sinun on määritettävä yhdyskäytävän IP-osoite (oma IP) ja täytettävä tiedot kaikista verkkosovittimista.

Jos verkossa on useita reitittimiä, sinun on täytettävä VPN-reititystaulukko kaikille VPN-tunnelissa oleville laitteille.

Tässä on luettelo VPN-verkkojen rakentamiseen käytetyistä laitteistoista:

Dlink-reitittimet: DIR-320, DIR-620, DSR-1000 uudella laiteohjelmistolla tai D-Link DI808HV -reititin.

Reitittimet Cisco PIX 501, Cisco 871-SEC-K9

Linksys Rv082 -reititin, joka tukee noin 50 VPN-tunnelia

Netgear-reititin DG834G ja reititinmallit FVS318G, FVS318N, FVS336G, SRX5308

Mikrotik-reititin OpenVPN-toiminnolla. Esimerkki RouterBoard RB/2011L-IN Mikrotik

VPN-laitteet RVPN S-Terra tai VPN Gate

ASUS-reitittimet mallit RT-N66U, RT-N16 ja RT N-10

ZyXel-reitittimet ZyWALL 5, ZyWALL P1, ZyWALL USG

Kuvittele kohtaus toiminnantäyteisestä elokuvasta, jossa konna pakenee rikospaikalta moottoritietä pitkin urheiluautolla. Häntä jäljittää poliisihelikopteri. Auto ajaa tunneliin, jossa on useita uloskäyntejä. Helikopterin lentäjä ei tiedä, kummalta uloskäynniltä auto ilmestyy, ja konna pakenee takaa-ajoa.

VPN on tunneli, joka yhdistää monia teitä. Kukaan ulkopuolelta ei tiedä, mihin sinne tulevat autot päätyvät. Kukaan ulkopuolelta ei tiedä mitä tunnelissa tapahtuu.

Olet luultavasti kuullut VPN:stä useammin kuin kerran. Lifehacker puhuu myös tästä asiasta. Useimmiten VPN:ää suositellaan, koska verkon avulla pääset käsiksi maantieteellisesti estettyyn sisältöön ja yleensä lisäät turvallisuutta Internetiä käytettäessä. Totuus on, että Internetiin pääsy VPN:n kautta voi olla yhtä vaarallista kuin suoraan.

Kuinka VPN toimii?

Todennäköisesti sinulla on Wi-Fi-reititin kotona. Siihen liitetyt laitteet voivat vaihtaa tietoja myös ilman Internetiä. Osoittautuu, että sinulla on oma yksityinen verkkosi, mutta muodostaaksesi yhteyden siihen sinun on oltava fyysisesti reitittimen signaalin ulottuvilla.

VPN (Virtual Private Network) on virtuaalinen yksityinen verkko. Se toimii Internetin päällä, joten voit muodostaa yhteyden siihen mistä tahansa.

Esimerkiksi yritys, jossa työskentelet, voi käyttää virtuaalista yksityistä verkkoa etätyöntekijöitä varten. VPN:n avulla he muodostavat yhteyden työverkkoonsa. Samalla heidän tietokoneet, älypuhelimet tai tabletit siirretään virtuaalisesti toimistoon ja liitetään verkkoon sisältä käsin. Jotta voit kirjautua virtuaaliseen yksityisverkkoon, sinun on tiedettävä VPN-palvelimen osoite, kirjautumistunnus ja salasana.

VPN:n käyttö on melko yksinkertaista. Tyypillisesti yritys asentaa VPN-palvelimen jonnekin paikalliselle tietokoneelle, palvelimelle tai datakeskukseen ja muodostaa siihen yhteyden käyttäjän laitteessa olevan VPN-asiakkaan avulla.

Nykyään sisäänrakennetut VPN-asiakkaat ovat saatavilla kaikissa nykyisissä käyttöjärjestelmissä, mukaan lukien Android, iOS, Windows, macOS ja Linux.

Asiakkaan ja palvelimen välinen VPN-yhteys on yleensä salattu.

Onko VPN siis hyvä?

Kyllä, jos olet yrityksen omistaja ja haluat suojata yrityksen tiedot ja palvelut. Päästämällä työntekijät työympäristöön vain VPN:n kautta ja käyttämällä heidän tilejään tiedät aina, kuka teki ja tekee mitä.

Lisäksi VPN-omistaja voi valvoa ja hallita kaikkea palvelimen ja käyttäjän välistä liikennettä.

Viettävätkö työntekijäsi paljon aikaa VKontaktessa? Voit estää pääsyn tähän palveluun. Viettääkö Gennadi Andrejevitš puolet työpäivästään meemisivustoilla? Kaikki hänen toimintansa kirjataan automaattisesti lokeihin, ja siitä tulee rautainen irtisanomisen peruste.

Miksi sitten VPN?

VPN:n avulla voit ohittaa maantieteelliset ja lailliset rajoitukset.

Olet esimerkiksi Venäjällä ja haluat. Pahoittelemme, että tämä palvelu ei ole saatavilla Venäjän federaatiosta. Voit käyttää sitä vain muodostamalla yhteyden Internetiin sen maan VPN-palvelimen kautta, jossa Spotify toimii.

Joissakin maissa on olemassa Internet-sensuuri, joka rajoittaa pääsyä tietyille sivustoille. Haluat käyttää jotakin resurssia, mutta se on estetty Venäjällä. Voit avata sivuston vain käyttämällä Internetiä sellaisen maan VPN-palvelimen kautta, jossa se ei ole estetty, eli melkein mistä tahansa maasta paitsi Venäjän federaatiosta.

VPN on hyödyllinen ja tarpeellinen tekniikka, joka selviää hyvin tietyistä tehtävistä. Mutta henkilötietojen turvallisuus riippuu edelleen VPN-palveluntarjoajan eheydestä, maalaisjärkestäsi, tarkkaavaisuudestasi ja Internet-lukutaidosta.

Ensimmäinen asia, joka tulee mieleen VPN:ää mainittaessa, on lähetettyjen tietojen anonyymius ja turvallisuus. Onko tämä todella totta? Selvitetään se.

Kun sinun on päästävä yritysverkkoon, siirrettävä tärkeät tiedot turvallisesti avoimia viestintäkanavia pitkin, piilotettava liikenne palveluntarjoajasi valppaalta silmältä, piilotettava todellinen sijaintisi, kun suoritat ei-täysin laillisia (tai ei ollenkaan laillisia) toimia. , turvaudut yleensä VPN:n käyttöön. Mutta kannattaako sokeasti luottaa VPN:ään ja asettaa tietojesi turvallisuus ja oma turvallisuutesi vaakalaudalle? Ehdottomasti ei. Miksi? Selvitetään se.

VAROITUS

Kaikki tiedot on tarkoitettu vain tiedoksi. Toimittajat tai kirjoittaja eivät ole vastuussa tämän artikkelin materiaalien mahdollisesti aiheuttamista haitoista.

Tarvitsemme VPN:n!

Virtuaalinen yksityinen verkko tai yksinkertaisesti VPN on yleisnimi tekniikoille, jotka mahdollistavat yhden tai useamman verkkoyhteyden (loogisen verkon) tarjoamisen toisen verkon, kuten Internetin, kautta. Huolimatta siitä, että viestintää voidaan toteuttaa julkisten verkkojen kautta, joiden luottamustaso on tuntematon, luottamuksen taso rakennetussa loogisessa verkossa ei riipu taustalla olevien verkkojen luottamustasosta salaustyökalujen (salaus, autentikointi) käytöstä johtuen. , julkisen avaimen infrastruktuuri, keino suojautua loogisen verkon kautta lähetettyjen viestien toistoilta ja muutoksilta). Kuten näette, teoriassa kaikki on ruusuista ja pilvetöntä, mutta käytännössä kaikki on hieman erilaista. Tässä artikkelissa tarkastelemme kahta pääkohtaa, jotka sinun on otettava huomioon VPN: n käytössä.

VPN-liikennevuoto

Ensimmäinen VPN-verkkojen ongelma on liikennevuoto. Eli liikenne, joka tulee siirtää VPN-yhteyden kautta salatussa muodossa, tulee verkkoon selkeänä tekstinä. Tämä skenaario ei johdu VPN-palvelimen tai asiakkaan virheestä. Täällä kaikki on paljon mielenkiintoisempaa. Yksinkertaisin vaihtoehto on katkaista VPN-yhteys yhtäkkiä. Päätit skannata isännän tai aliverkon Nmapin avulla, käynnistit skannerin, kävelit pois näytöstä muutamaksi minuutiksi, ja sitten VPN-yhteys katkesi yhtäkkiä. Mutta skanneri jatkaa toimintaansa. Ja skannaus tulee osoitteestasi. Tämä on niin epämiellyttävä tilanne. Mutta mielenkiintoisempiakin skenaarioita on. Esimerkiksi VPN-liikenteen vuoto on laajalle levinnyt verkoissa (isännissä), jotka tukevat molempia IP-protokollan versioita (ns. dual-stacked networks/hosts).

Pahan juuri

Kahden protokollan - IPv4 ja IPv6 - rinnakkaiselo sisältää monia mielenkiintoisia ja hienovaraisia ​​puolia, jotka voivat johtaa odottamattomiin seurauksiin. Vaikka IP 6 ei ole taaksepäin yhteensopiva IP 4:n kanssa, DNS (Domain Name System) liimaa nämä kaksi versiota yhteen. Jotta olisi selkeämpi, mistä puhumme, katsotaanpa yksinkertaista esimerkkiä. Otetaan esimerkiksi verkkosivusto (kuten www.example.com), jolla on sekä IPv4- että IPv6-tuki. Vastaava verkkotunnus (tapauksessamme www.example.com) sisältää molemmat DNS-tietueet: A ja AAAA. Jokainen A-tietue sisältää yhden IPv4-osoitteen ja jokainen AAAA-tietue sisältää yhden IPv6-osoitteen. Lisäksi yhdessä verkkotunnuksessa voi olla useita molempia tietueita. Siten, kun molempia protokollia tukeva sovellus haluaa kommunikoida sivuston kanssa, se voi pyytää mitä tahansa käytettävissä olevista osoitteista. Ensisijainen osoiteperhe (IPv4 tai IPv6) ja sovelluksen käyttämä lopullinen osoite (koska niitä on useita versioille 4 ja 6) vaihtelevat protokollasta toiseen.

Tämä protokollien rinnakkaiselo tarkoittaa, että kun molempia pinoja tukeva asiakas haluaa kommunikoida toisen järjestelmän kanssa, A- ja AAAA-tietueiden läsnäolo vaikuttaa siihen, mitä protokollaa käytetään kommunikoimaan kyseisen järjestelmän kanssa.

VPN ja kaksoisprotokollapino

Monet VPN-toteutukset eivät tue IPv6:ta tai, mikä pahempaa, ohittavat IPv6:n kokonaan. Kun yhteys on muodostettu, VPN-ohjelmisto huolehtii IPv4-liikenteen kuljettamisesta - lisää IPv4-pakettien oletusreitin, mikä varmistaa, että kaikki IPv4-liikenne lähetetään VPN-yhteyden kautta (sen sijaan, että se lähetettäisiin selkeästi paikallisen reitittimen kautta). . Jos IPv6:ta ei kuitenkaan tueta (tai se jätetään kokonaan huomiotta), jokainen paketti, jonka otsikossa on IPv6-kohdeosoite, lähetetään selkeästi paikallisen IPv6-reitittimen kautta.

Suurin syy ongelmaan on siinä, että vaikka IPv4 ja IPv6 ovat kaksi eri protokollaa, jotka eivät ole yhteensopivia keskenään, niitä käytetään tiiviisti verkkotunnusjärjestelmässä. Siten järjestelmässä, joka tukee molempia protokollapinoja, on mahdotonta suojata yhteyttä toiseen järjestelmään turvaamatta molempia protokollia (IPv6 ja IPv4).

Laillinen VPN-liikennevuoto

Harkitse isäntä, joka tukee molempia protokollapinoja, käyttää VPN-asiakasta (joka toimii vain IPv4-liikenteessä) muodostaakseen yhteyden VPN-palvelimeen ja on yhdistetty kaksoispinottuun verkkoon. Jos isäntäsovelluksen on kommunikoitava kaksoispinotun solmun kanssa, asiakas yleensä kyselee sekä A- että AAAA DNS-tietueita. Koska isäntä tukee molempia protokollia ja etäsolmulla on molempia DNS-tietueita (A ja AAAA), yksi todennäköisistä skenaarioista on käyttää IPv6-protokollaa niiden väliseen viestintään. Ja koska VPN-asiakas ei tue protokollan kuudetta versiota, IPv6-liikennettä ei lähetetä VPN-yhteyden kautta, vaan se lähetetään selkeänä tekstinä paikallisverkon kautta.

Tämä skenaario vaarantaa arvokkaan tiedon siirron selkeänä tekstinä, kun uskomme, että se siirretään turvallisesti VPN-yhteyden kautta. Tässä nimenomaisessa tapauksessa VPN-liikenteen vuoto on sivuvaikutus, kun käytetään muuta kuin IPv6-ohjelmistoa verkossa (ja isännässä), joka tukee molempia protokollia.

Aiheuttaa tarkoituksella VPN-liikenteen vuotamista

Hyökkääjä voi tarkoituksella pakottaa IPv6-yhteyden uhrin tietokoneeseen lähettämällä väärennettyjä ICMPv6-reitittimen mainosviestejä. Tällaisia ​​paketteja voidaan lähettää käyttämällä apuohjelmia, kuten rtadvd, SI6 Networksin IPv6 Toolkit tai THC-IPv6. Kun IPv6-yhteys on muodostettu, "viestintä" molempia protokollapinoja tukevan järjestelmän kanssa voi johtaa VPN-liikenteen vuotamiseen, kuten yllä on käsitelty.

Vaikka tämä hyökkäys voi olla varsin hedelmällinen (IPv6:ta tukevien sivustojen kasvavan määrän vuoksi), se vuotaa liikennettä vain, kun vastaanottaja tukee molempia IP-protokollan versioita. Hyökkääjän ei kuitenkaan ole vaikeaa aiheuttaa liikennevuotoja mille tahansa vastaanottajalle (kaksoispinottu tai ei). Lähettämällä vääriä Router Advertisement -viestejä, jotka sisältävät sopivan RDNSS-vaihtoehdon, hyökkääjä voi teeskennellä olevansa paikallinen rekursiivinen DNS-palvelin ja suorittaa sitten DNS-huijauksen suorittaakseen välimieshyökkäyksen ja siepatakseen vastaavan liikenteen. Kuten edellisessä tapauksessa, työkalut, kuten SI6-Toolkit ja THC-IPv6, voivat helposti tehdä tämän tempun.

Sillä ei ole mitään väliä, jos uteliaille katseille tarkoitettu liikenne päätyy verkkoon selkeänä tekstinä. Kuinka suojautua tällaisissa tilanteissa? Tässä muutamia hyödyllisiä reseptejä:

  1. Jos VPN-asiakas on määritetty lähettämään kaikki IPv4-liikenne VPN-yhteyden kautta, toimi seuraavasti:
  • jos VPN-asiakas ei tue IPv6:ta, poista IP-protokollan kuudennen version tuki käytöstä kaikissa verkkoliitännöissä. Näin ollen tietokoneella toimivilla sovelluksilla ei ole muuta vaihtoehtoa kuin käyttää IPv4:ää;
  • Jos IPv6 on tuettu, varmista, että kaikki IPv6-liikenne lähetetään myös VPN:n kautta.
  1. Voit välttää liikennevuotoja, jos VPN-yhteys yhtäkkiä katkeaa ja kaikki paketit lähetetään oletusyhdyskäytävän kautta, voit:
  2. pakota kaikki liikenne kulkemaan VPN-reitin läpi poista 0.0.0.0 192.168.1.1 // poista oletusyhdyskäytävän reitti lisää 83.170.76.128 maski 255.255.255.255 192.168.1.1 metriikka 1
  • käytä VPNetMon-apuohjelmaa, joka tarkkailee VPN-yhteyden tilaa ja heti kun se katoaa, lopettaa välittömästi käyttäjän määrittämät sovellukset (esimerkiksi torrent-asiakkaat, verkkoselaimet, skannerit);
  • tai VPNCheck-apuohjelma, joka voi käyttäjän valinnasta riippuen joko poistaa verkkokortin kokonaan käytöstä tai yksinkertaisesti lopettaa määritetyt sovellukset.
  1. Voit tarkistaa verkkosivustolta, onko koneesi alttiina DNS-liikenteen vuodoille, ja soveltaa sitten kuvattuja vinkkejä vuodon korjaamiseen.

VPN-liikenteen salauksen purku

Vaikka olet määrittänyt kaiken oikein ja VPN-liikenne ei vuoda verkkoon selkeästi, tämä ei ole vielä syy rentoutumiseen. Asia on siinä, että jos joku sieppaa VPN-yhteyden kautta lähetetyt salatut tiedot, hän pystyy purkamaan sen salauksen. Lisäksi se ei vaikuta tähän millään tavalla, onko salasanasi monimutkainen vai yksinkertainen. Jos käytät PPTP-protokollaan perustuvaa VPN-yhteyttä, voit sanoa 100% varmuudella, että kaiken siepatun salatun liikenteen salaus voidaan purkaa.

Akilleen kantapää

PPTP:hen (Point-to-Point Tunneling Protocol) perustuvissa VPN-yhteyksissä käyttäjän todennus suoritetaan Microsoftin kehittämällä MS-CHAPv2-protokollalla. Huolimatta siitä, että MS-CHAPv2 on vanhentunut ja usein kritisoitu, sitä käytetään edelleen aktiivisesti. Lähettääkseen sen lopulta historian roskakoriin kuuluisa tutkija Moxie Marlinspike otti asian käsiinsä ja kertoi 20. DEF CON -konferenssissa, että tavoite oli saavutettu - protokolla oli hakkeroitu. On sanottava, että tämän protokollan turvallisuus on ollut hämmentynyt ennenkin, mutta MS-CHAPv2:n näin pitkä käyttö saattaa johtua siitä, että monet tutkijat keskittyivät vain sen haavoittuvuuteen sanakirjahyökkäyksille. Rajoitettu tutkimus ja suuri määrä tuettuja asiakkaita, käyttöjärjestelmien sisäänrakennettu tuki – kaikki tämä varmisti MS-CHAPv2-protokollan laajan käyttöönoton. Meille ongelma on siinä, että MS-CHAPv2:ta käytetään PPTP-protokollassa, jota käyttävät monet VPN-palvelut (esimerkiksi sellaiset suuret kuin anonyymi VPN-palvelu IPredator ja The Pirate Bay’s VPN).

Jos käännymme historiaan, niin jo vuonna 1999 Bruce Schneier totesi PPTP-protokollaa koskevassa tutkimuksessaan, että "Microsoft paransi PPTP:tä korjaamalla suuria tietoturvavirheitä. Todennus- ja salausprotokollan perustavanlaatuinen heikkous on kuitenkin se, että se on vain niin turvallinen kuin käyttäjän valitsema salasana." Jostain syystä tämä sai palveluntarjoajat uskomaan, että PPTP:ssä ei ollut mitään vikaa ja että jos käyttäjän edellytetään keksivän monimutkaisia ​​salasanoja, lähetetyt tiedot olisivat turvallisia. Riseup.net-palvelu inspiroitui tästä ideasta niin paljon, että se päätti luoda itsenäisesti käyttäjille 21-merkkiset salasanat antamatta heille mahdollisuutta asettaa itseään. Mutta edes tällainen kova toimenpide ei estä liikenteen salauksen purkamista. Ymmärtääksemme miksi, katsotaanpa tarkemmin MS-CHAPv2-protokollaa ja katsotaan kuinka Moxie Marlinspike onnistui murtamaan sen.

MS-CHAPv2-protokolla

Kuten jo mainittiin, MSCHAPv2:ta käytetään käyttäjän todentamiseen. Se tapahtuu useissa vaiheissa:

  • asiakas lähettää todennuspyynnön palvelimelle ja lähettää julkisesti sisäänkirjautumisensa;
  • palvelin palauttaa 16-tavuisen satunnaisen vastauksen asiakkaalle (Authenticator Challenge);
  • asiakas luo 16-tavuisen PAC:n (Peer Authenticator Challenge - vertaistodennusvastaus);
  • asiakas yhdistää PAC:n, palvelimen vastauksen ja sen käyttäjätunnuksen yhdeksi riviksi;
  • vastaanotetusta merkkijonosta otetaan 8-tavuinen hash SHA-1-algoritmilla ja lähetetään palvelimelle;
  • palvelin hakee tämän asiakkaan tiivisteen tietokannastaan ​​ja purkaa sen vastauksen salauksen;
  • jos salauksen purkutulos vastaa alkuperäistä vastausta, kaikki on kunnossa ja päinvastoin;
  • tämän jälkeen palvelin ottaa asiakkaan PAC:n ja luo tiivisteen perusteella 20-tavuisen AR:n (Authenticator Response) ja välittää sen asiakkaalle;
  • asiakas suorittaa saman toiminnon ja vertaa vastaanotettua AR:tä palvelimen vastaukseen;
  • jos kaikki täsmää, palvelin todentaa asiakkaan. Kuvassa on visuaalinen kaavio protokollan toiminnasta.

Ensi silmäyksellä protokolla näyttää liian monimutkaiselta - joukko tiivisteitä, salausta, satunnaisia ​​haasteita. Se ei itse asiassa ole niin monimutkaista. Jos katsot tarkasti, huomaat, että koko protokollassa vain yksi asia jää tuntemattomaksi - käyttäjän salasanan MD4-hajautus, jonka perusteella rakennetaan kolme DES-avainta. Loput parametrit joko välitetään selkeässä muodossa tai ne voidaan saada selkeässä muodossa lähetetystä.


Koska lähes kaikki parametrit ovat tiedossa, emme voi ottaa niitä huomioon, vaan kiinnittää erityistä huomiota tuntemattomaan ja selvittää, mitä se antaa meille.


Joten, mitä meillä on: tuntematon salasana, sen salasanan tuntematon MD4-tiiviste, tunnettu selkeä teksti ja tunnettu salateksti. Tarkemmin tarkasteltuna huomaat, että käyttäjän salasana ei ole meille tärkeä, mutta sen hash on tärkeä, koska se tarkistetaan palvelimelta. Siten, jotta voimme todentaa onnistuneesti käyttäjän puolesta ja purkaa hänen liikenteensä, meidän tarvitsee vain tietää hänen salasanansa hash.

Kun olet siepannut liikenteen, voit yrittää purkaa sen salauksen. On olemassa useita työkaluja (esimerkiksi Sleap), joiden avulla voit arvata käyttäjän salasanan sanakirjahyökkäyksen kautta. Näiden työkalujen haittana on, että ne eivät anna 100%:n takuuta tuloksista, ja menestys riippuu suoraan valitusta sanakirjasta. Salasanan valitseminen yksinkertaisella raa'alla voimalla ei myöskään ole kovin tehokasta - esimerkiksi PPTP VPN -palvelun riseup.net tapauksessa, joka asettaa 21 merkin pituiset salasanat väkisin, sinun on kokeiltava 96 merkkivaihtoehtoa jokaiselle 21 merkille. . Tämä johtaa 96^21 vaihtoehtoon, mikä on hieman enemmän kuin 2^138. Toisin sanoen sinun on valittava 138-bittinen avain. Tilanteessa, jossa salasanan pituutta ei tunneta, on järkevää valita salasanalle MD4-tiiviste. Ottaen huomioon, että sen pituus on 128 bittiä, saamme 2^128 vaihtoehtoa - tällä hetkellä tätä on yksinkertaisesti mahdotonta laskea.

Hajota ja hallitse

Salasanan MD4-tiivistettä käytetään syötteenä kolmelle DES-operaatiolle. DES-avaimet ovat 7 tavua pitkiä, joten jokainen DES-toiminto käyttää 7-tavuista osaa MD4-hajautusarvosta. Kaikki tämä jättää tilaa klassiselle hajota ja hallitse -hyökkäykselle. Täysin raa'an voiman sijaan MD4-hajautus (joka, kuten muistat, on 2^128 vaihtoehtoa), voimme valita sen 7 tavun osissa. Koska käytetään kolmea DES-operaatiota ja jokainen DES-operaatio on täysin riippumaton muista, tämä antaa yhteensovituksen kompleksisuuden 2^56 + 2^56 + 2^56 tai 2^57,59. Tämä on jo huomattavasti parempi kuin 2^138 ja 2^128, mutta silti liikaa vaihtoehtoja. Vaikka, kuten olet ehkä huomannut, näihin laskelmiin hiipi virhe. Algoritmi käyttää kolmea DES-avainta, kukin 7 tavua, eli yhteensä 21 tavua. Nämä avaimet on otettu salasanan MD4-tiivisteestä, joka on vain 16 tavua pitkä.


Eli 5 tavua puuttuu kolmannen DES-avaimen rakentamiseksi. Microsoft ratkaisi tämän ongelman yksinkertaisesti täyttämällä puuttuvat tavut typerästi nollia ja vähentämällä kolmannen avaimen tehokkuutta olennaisesti kahteen tavuun.


Koska kolmannen avaimen tehollinen pituus on vain kaksi tavua, eli 2^16 vaihtoehtoa, sen valinta kestää muutamassa sekunnissa, mikä todistaa hajota ja hallitse -hyökkäyksen tehokkuuden. Joten voimme olettaa, että hashin kaksi viimeistä tavua tunnetaan, jäljellä on vain valita loput 14. Lisäksi jakamalla ne kahteen 7 tavun osaan, meillä on hakuvaihtoehtojen kokonaismäärä, joka on yhtä suuri kuin 2^ 56 + 2^56 = 2^57. Edelleen liikaa, mutta paljon paremmin. Huomaa, että muut DES-toiminnot salaavat saman tekstin, vain käyttämällä eri avaimia. Hakualgoritmi voidaan kirjoittaa seuraavasti:

Mutta koska teksti on salattu samalla tavalla, on oikeampaa tehdä se näin:

Toisin sanoen haettavissa on 2^56 näppäinversiota. Tämä tarkoittaa, että MS-CHAPv2:n turvallisuus voidaan vähentää pelkästään DES-salauksen vahvuuteen.

Hakkerointi DES

Nyt kun avainten valinta on tiedossa, hyökkäyksen onnistuminen on laskentatehon tehtävä. Vuonna 1998 Electronic Frontier Foundation rakensi Deep Crack -nimisen koneen, joka maksoi 250 000 dollaria ja pystyi murtamaan DES-avaimen keskimäärin neljässä ja puolessa päivässä. Tällä hetkellä Pico Computing, joka on erikoistunut FPGA-laitteiston rakentamiseen kryptografisia sovelluksia varten, on rakentanut FPGA-laitteen (DES cracking box), joka toteuttaa DES:n liukuhihnana yhdellä DES-operaatiolla kellojaksoa kohden. 40 ytimen 450 MHz:n taajuudella se pystyy luettelemaan 18 miljardia näppäintä sekunnissa. Tällaisella raa'alla nopeudella DES-krakkauslaatikko murtaa DES-avaimen pahimmassa tapauksessa 23 tunnissa ja keskimäärin puolessa päivässä. Tämä ihmekone on saatavilla kaupallisen verkkopalvelun loudcracker.com kautta. Joten nyt voit murtaa minkä tahansa MS-CHAPv2-kättelyn alle päivässä. Ja kun sinulla on salasanan tiiviste, voit todentaa tämän käyttäjän puolesta VPN-palvelussa tai yksinkertaisesti purkaa hänen liikenteen salauksen.

Palvelun automatisoimiseksi ja siepatun liikenteen käsittelemiseksi Moxie julkisti chapcrack-apuohjelman. Se jäsentää siepattua verkkoliikennettä ja etsii MS-CHAPv2-kättelyä. Jokaisesta löytämänsä kättelystä se tulostaa käyttäjänimen, tunnetun tavallisen tekstin, kaksi tunnettua salatekstiä ja murtaa kolmannen DES-avaimen. Lisäksi se luo CloudCrackerille tunnuksen, joka koodaa kolme parametria, joita palvelu tarvitsee murtaakseen jäljellä olevat avaimet.

CloudCracker & Chapcrack

Jos joudut murtamaan DES-avaimet siepatusta käyttäjäliikenteestä, annan lyhyen vaiheittaisen ohjeen.

  1. Lataa Passlib-kirjasto, joka toteuttaa yli 30 erilaista hajautusalgoritmia Python-kielelle, pura ja asenna: python setup.py install
  2. Asenna python-m2crypto - OpenSSL-kääre Pythonille: sudo apt-get install python-m2crypto
  3. Lataa itse chapcrack-apuohjelma, pura ja asenna: python setup.py install
  4. Chapcrack on asennettu, voit aloittaa siepatun liikenteen jäsentämisen. Apuohjelma hyväksyy syötteeksi cap-tiedoston, etsii siitä MS-CHAPv2-kättelyä, josta se poimii hakkerointiin tarvittavat tiedot.
  5. chapcrack parse -i testit/pptp
  6. Kopioi chapcrack-apuohjelman tuottamista tiedoista CloudCracker Submission -rivin arvo ja tallenna se tiedostoon (esimerkiksi output.txt)

Siirry osoitteeseen cloudcracker.com, valitse "Start Cracking" -paneelista Tiedostotyyppi, joka on yhtä suuri kuin "MS-CHAPv2 (PPTP/WPA-E)", valitse edellisessä vaiheessa valmisteltu output.txt-tiedosto, napsauta Seuraava -> Seuraava ja ilmoita sähköpostiosoitteesi, johon lähetetään viesti hakkeroinnin päätyttyä.

Valitettavasti CloudCracker on maksullinen palvelu. Onneksi sinun ei tarvitse maksaa niin paljon avainten murtamisesta - vain 20 taalaa.

Mitä tehdä?

Vaikka Microsoft kirjoittaa verkkosivuillaan, ettei sillä tällä hetkellä ole tietoa aktiivisista chapcrack-hyökkäyksistä eikä tällaisten hyökkäysten seurauksista käyttäjäjärjestelmiin, tämä ei tarkoita, että kaikki olisi kunnossa. Moxie suosittelee, että kaikki PPTP VPN -ratkaisujen käyttäjät ja toimittajat aloittavat siirtymisen toiseen VPN-protokollaan. Ja PPTP-liikennettä pidetään salaamattomana. Kuten näet, on toinenkin tilanne, jossa VPN voi pettää meidät vakavasti.

Johtopäätös



Sattuu niin, että VPN liittyy nimettömyyteen ja turvallisuuteen. Ihmiset turvautuvat VPN:n käyttöön, kun he haluavat piilottaa liikenteensä palveluntarjoajansa valppailta silmiltä, ​​korvata todellisen maantieteellisen sijaintinsa ja niin edelleen. Itse asiassa käy ilmi, että liikennettä voi "vuotaa" verkkoon selkeästi, ja jos ei selkeästi, niin salatun liikenteen salaus voidaan purkaa melko nopeasti. Kaikki tämä muistuttaa meitä jälleen kerran siitä, että emme voi sokeasti luottaa äänekkäisiin lupauksiin täydellisestä turvallisuudesta ja nimettömyydestä. Kuten sanotaan, luota, mutta varmista. Ole siis varuillasi ja varmista, että VPN-yhteytesi on todella turvallinen ja anonyymi.